ciao!
al momento sto gestendo il login degli utenti con le sessioni.
tra l'altro ho impostato le sessioni su redis invece che sul filesystem.
ho quindi creato uno script che mi permette di fare il logout massivo di tutti gli utenti, cancellando tutte le sessioni su redis (ed in verità si può fare anche con le sessioni "classiche").
ma se invece gestissi tutto tramite cookie, potrei fare una cosa del genere?
se si, mi date una linea guida please???
Quando crei il coockie dovresti anche salvare in esso un timestamp relativo al momento della creazione.
In questo modo, se decidi che tutti gli utenti devono rieseguire il login, ti basta fare un controllo del tipo:
- se il timestamp contenuto nel cookie < data da cui rieseguire il login
--- invalida il cookie e l'autenticazione dell'utente
chi ha un timestamp maggiore vuol dire che ha rieseguito il login dopo il logout forzato oppure ha iniziato ad usare il sito dopo.
Il contro di questo approccio è che se non hai un punto di accesso unico, come fanno i vari framework, devi prevedere il controllo in tutte le pagine, perché un utente potrebbe tornare sul tuo sito in una pagina qualunque, non è detto che si passi sempre dalla home, magari qualcuno ha messo nei preferiti una pagina diversa e torna lì.
concentrandomi su quello che facevo per le sessioni, non ho pensato a questo escamotage.
il controllo cmq già per le sessioni, quindi lo modifico per i cookie eventualmente.
grazie per la dritta!!
Puoi anche utilizzare un database, quando cancelli le sessioni cancelli pure i record nel database, se leghi le prime ai secondi, cancellandoli, anche se hai un cookie abilitato, non entri nel sito senza un nuovo login.
ah si, anche questa soluzione potrebbe non essere male.Originariamente inviata da Marcolino's
adesso vedo un attimo cosa mi conviene fare tra le due!
Permessi di invio
Rispondi quotando